谷歌宣布開始全面封殺使用沃通CA證書網站，信譽破產的惡果

去年底，擁有奇虎360公司背景的國內最大CA證書籤發機構沃通(WoSign)，被揭發違規頒發SSL證書以及隱瞞秘密收購另一家CA公司StartCom，因此各大瀏覽器開始有限度吊銷其安全證書，直到今天，市場上佔有率極高的Google Chrome正式宣布，將會在未來的Chrome V61版本上永久取消沃通頒發的證書信任，並且提醒各大網站管理員儘快替換掉沃通簽發的證書，否者使用相關證書的網站將不能被正常訪問。

CA證書是我們日常https加密網站的防偽證書，，在https傳輸中通過證書加密，只有在瀏覽器廠商和證書廠商對比了證書和加密內容確認沒有經過修改，網站內容才會被顯示。證書遭到泄露，會危及用戶安全造成嚴重後果，攻擊者可以利用虛假證書進行中間人攻擊從而劫持用戶。不過為了防止這類事情發生，瀏覽器廠商以及證書廠商、網站運營者都參與到證書透明的過程，可以確保自己的域名被簽發的證書在自己控制範圍之內。

而沃通則是中國境內的一家證書籤發機構，自稱是中國最大的國產品牌數字證書頒發機構，擁有全球信任的頂級根證書。

那麼沃通到底做錯了什麼，受到一眾瀏覽器廠商封殺呢？

原因有三：

一是有申請發現沃通的免費證書服務存在問題，只要申請者證明他們擁有子域名，即可申領到根域名的證書（全球最大的開源代碼社區Github就是這樣被坑了）。這就危險就大多了，也就是說你的網站子域名證書分配給別有用心的人，你的主站就很可能受到信息安全威脅。此外，研究人員發現，沃通的證書申請認證過程非常簡陋，很容易就能申請到原本不應該獲得批准的證書。

第二個是沃通隱瞞了收購另一個CA證書頒發公司StartCom，違反了對 CA 公司被收購需要披露信息的要求。

第三個就是被收購的CA證書頒發公司StartCom違規修改證書頒發日期，幫助證書申請人規避瀏覽器警告風險。

沃通被瀏覽器封殺時間表：

2016年09月27日，Mozilla公布了對沃通CA不當行為的調查報告，正式提議將停止信任沃通和StartCom簽發的新證書。

2016年10月1日，蘋果公司第一宣布將會在未來的安全更新中對沃通的G2證書踢出信任白名單，已經發布到GT上的舊證書不收影響。

2016年10月26日，Mozilla開始在Fire FOX 51起，對10月21日之後沃通所簽發的CA證書移除信任。

2016年10月31日，Google也宣布了開發者預覽版的Chrome 56，不在信任沃通和StartCom簽發的所有證書。當時Google就表明，Chrome不會手下留情，將會全面封殺來自這兩個CA頒發機構的所有證書。

2017年7月7日，Google正式宣布Chrome 61將會完全停止沃通和StartCom證書信任，屆時使用兩個機構頒發的CA證書加密網站訪問將會被限制，內容無法顯示。根據Google之前說明的新版Chrome發行時間，Chrome 61最快在今年9月發布。

既然這麼多瀏覽器廠商堅決封殺沃通和StartCom的CA證書，也就說他們在網路安全領域上已經信譽破產。不過對於一些網友來說可不是什麼好事情，國內還有很多網站使用他們的證書，屆時都被封殺的話，你就只能看到一大堆「Cannot verify the identity」，只能寄希望於網站管理者快點換證書了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！